mrhossa
Goto Top

BackupDomain Controller für Azure AD on premise

Hallo,

Vorab bitte berichtigt mich falls ich hier irgendwelchen Quatsch schreibe, das Thema Azure ist für mich noch ziemlich neu.
Ich habe ein Azure AD jedoch ohne richtigen Domain Controller (es gibt keine Hardware Resource).
Ich möchte jetzt ein WLAN mittels 802.1x aufbauen. Dieses soll sich die Anmelde Informationen aus dem Azure ziehen, mein WLAN Controller hat diese Funktion nicht.
Nun war meine Überlegung ich baue mir einfach einen zweiten DC im Office auf, richte diesen als Backupdomain Controller ein und connecte dann den WLAN-Controller mit dem Backupdomain Controller.
Ich komme aber einfach nicht weiter, soweit wie ich verstanden habe sychronisiert AzureADConnect nur alle Daten aus der lokalen Domäne in die Cloud, ich bräuchte das aber anders herum.
Vielleicht kann mir ja ein Wissender einen Denkanstoß geben....

Vielen Dank

Content-ID: 666798

Url: https://administrator.de/contentid/666798

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

Ad39min
Ad39min 17.05.2021 aktualisiert um 17:52:19 Uhr
Goto Top
Hi,

Zitat von @mrhossa:

Hallo,

Vorab bitte berichtigt mich falls ich hier irgendwelchen Quatsch schreibe, das Thema Azure ist für mich noch ziemlich neu.
Ich habe ein Azure AD jedoch ohne richtigen Domain Controller (es gibt keine Hardware Resource).

Wie soll es ohne Hardware denn überhaupt laufen?

Ich möchte jetzt ein WLAN mittels 802.1x aufbauen. Dieses soll sich die Anmelde Informationen aus dem Azure ziehen, mein WLAN Controller hat diese Funktion nicht.
Nun war meine Überlegung ich baue mir einfach einen zweiten DC im Office auf, richte diesen als Backupdomain Controller ein und connecte dann den WLAN-Controller mit dem Backupdomain Controller.

Das Zauberwort heisst hier "RADIUS". Zum Zusammenspiel mit Azure AD kann ich selber zwar nichts sagen, aber Google bereits nach drei Sekunden face-wink :
https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/aut ...

Ich komme aber einfach nicht weiter, soweit wie ich verstanden habe sychronisiert AzureADConnect nur alle Daten aus der lokalen Domäne in die Cloud, ich bräuchte das aber anders herum.

Und was spricht dagegen es so aufzubauen statt "anders herum"?
(Ich persönlich würde eine On-Premise AD in jedem Fall bevorzugen und nur wenn es umbedingt sein muss, noch etwas in die Cloud synchronisieren. Aber nicht umgekehrt)

Vielleicht kann mir ja ein Wissender einen Denkanstoß geben....

Vielen Dank

Gruß
Alex
NixVerstehen
NixVerstehen 17.05.2021 um 19:43:08 Uhr
Goto Top
Servus,

da kann ich Ad39min nur zustimmen. Wenn du bereit bist, Geld für einen DC (Hardware, Lizenz) zu investieren, dann kannst du das Ganze auch gleich richtig herum machen. Da synchronisiert dann dein DC mit Azure AD Connect in die Cloud und auf dem lokalen DC richtest du noch den NPS ein und machst die WLAN-Authentifizierung über Radius. Das funktioniert bei mir seit Jahren wunderbar mit einer Handvoll Cisco WAP-150 AP's.

Soll's ohne OnPremise-DC sein, arbeite dich hier mal durch: Azure AD DS - Grundlagen

Gruß NV
mrhossa
mrhossa 31.05.2021 um 10:29:20 Uhr
Goto Top
Hallo nochmal,

es ist nunmal so dass die Nutzer bereits im Azure vorhanden sind und ich diese auf den physischen synchronisieren möchte. Mir geht es nicht um den best practice weg dies einzurichten sondern die vorhandenen Daten auf den Physischen zu syncen. Da mein WLAN Controller direkt aus einem on Premise AD lesen kann wollte ich eigentlich dieses mal den Umweg über den Radius vermeiden.

Vielen Dank Alex
Ad39min
Ad39min 01.06.2021 um 08:12:29 Uhr
Goto Top
Zitat von @mrhossa:

Hallo nochmal,

es ist nunmal so dass die Nutzer bereits im Azure vorhanden sind und ich diese auf den physischen synchronisieren möchte. Mir geht es nicht um den best practice weg dies einzurichten sondern die vorhandenen Daten auf den Physischen zu syncen. Da mein WLAN Controller direkt aus einem on Premise AD lesen kann wollte ich eigentlich dieses mal den Umweg über den Radius vermeiden.

Über welches Protokoll liest der "direkt" vom normalen AD, wenn nicht 0ber RADIUS?
LDAP, Kerberos? Dann müsste er das doch bestimmt auch vom Azure AD DC lesen können?

Der Weg über RADIUS ist eigentlich der gängige und der am weitesten supportetste.

Du könntest hier noch prüfen ob Du nicht einen Windows NPS Server als Domain Member der Azure DS Domäne installieren kannst, welchen der WLAN Controller dann als Quelle verwendet.


Vielen Dank Alex

Immer gerne!

Gruß
Alex